| | | 2009/3/19 | |
| | 風險等級: | 中度威脅 | |
| | 摘 要: | 趨勢科技日前發現WORM_DOWNAD.A 蠕蟲已出現新變種,新變種的蠕蟲增加了自我保護機制,例如停止執行中的資安鑑識工具處理程序、讓受駭系統無法進入安全模式等,企圖增加蠕蟲在受駭系統中的存活率,感染此蠕蟲之途徑可能是其它已存在系統中的惡意程式再從遠端惡意網站下載該蠕蟲至系統後執行、使用者不慎瀏覽至惡意網站時,被導向遠端惡意網站下載該蠕蟲至系統後執行,以及未修補MS08-067 的Windows 作業系統遭到其它受駭系統攻擊。
防毒防駭廠商趨勢科技將新變種的蠕蟲定義為WORM_DOWNAD.KK 、防毒防駭廠商賽門鐵克則將其定義為W32.Downadup.C ,HiNet SOC 建議您立即更新微軟MS08-067 的弱點修補程式、不去開啟來路不明的電子郵件以及內文中的連結、勿瀏覽不明網站,以及安裝防毒軟體且更新至最新的病毒防護來降低受駭風險。 | |
| | | | |
| | 影響系統 : | - Windows 98/Me
- Windows NT/2000
- Windows XP
- Windows Server 2003
- Windows VISTA
| |
| |
| | | | |
| | 解決辦法: | 若不慎已感染此病毒,建議處理方式如下:
1、請關閉系統還原功能 (Windows Me / XP )。
2、請將防毒軟體之病毒定義檔更新至最新。
3、請利用防毒軟體進行全系統掃描。
4、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
| |
| | | | |
| | 細節描述: | WORM_DOWNAD.KK 每天會自動產生五萬個以上的偽造網域名稱、自動終止受駭系統內執行中的資安鑑識工具處理程序,例如:autoruns 、filemon 、sysclean 、tcpview 、wireshark 等;阻擋受駭系統連線至各大防毒防駭軟體廠商的網站,例如:TrendMicro 、Norton 等,以及刪除特定機碼讓受駭系統無法進入安全模式,降低被移除風險,企圖延長受駭系統的感染時間。
1、若不慎感染此病毒可能被植入的檔案名稱及路徑如下:
2、若不慎感染此病毒可能被修改的註冊表(Registry ) 如下:
- HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ [隨機命名*]\ "ImagePath" = "%System%\ svchost.exe -k netsvcs"
- HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ [隨機命名*]\ Parameters\ "ServiceDll" = "[病毒程式檔案之路徑及名稱*]"
- HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ SvcHost\netsvcs = {隨機命名*}
HiNet SOC 建議您立即更新微軟MS08-067 的弱點修補程式、不去開啟來路不明的電子郵件以及內文中的連結、勿瀏覽不明網站,以及安裝防毒軟體且更新至最新的病毒防護來降低受駭風險。
請注意:
- %System% 是Windows 系統資料夾,在Windows 98 / ME 是指C:\ Windows\ System ,在Windows NT / 2000 是指C:\ WINNT\ System32 , 在Windows XP / Server 2003 是指C:\ Windows\ System32 。
- %Temp% 是Windows 暫存資料夾,通常是指C:\ Windows\ Temp 或 C:\ WINNT\ Temp 。
- %Windows% 是Windows 資料夾,通常是指C:\ Windows 或 C:\ WINNT 。
|
